De ceva timp mi-am pus mod_security la site, am instalat consola de la ei (cam nasoală - scrisă în Java, yuck!, da n-am timp acu să îmi fac io una pe gustul meu), and it gives me pretty pictures:
după cum se vede, ieri pe la ora 17 a fost un spike de vreo 200 de … evenimente, să zicem. Care evenimente, după niţel căutat în access_log, arătau cam aşa:
89.41.7.80 - - [04/May/2008:16:49:47 +0300] “GET /work/wordpress-plugins/inline-gallery/inline-gallery-demo/2/ HTTP/1.1″ 403 524 “http://www.TheBlog.ro” “Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14″
89.41.7.80 - - [04/May/2008:16:49:49 +0300] “GET /work/wordpress-plugins/inline-gallery/inline-gallery-demo/2/ HTTP/1.1″ 403 524 “http://www.TheBlog.ro” “Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14″
89.41.7.80 - - [04/May/2008:16:49:49 +0300] “GET /work/wordpress-plugins/inline-gallery/inline-gallery-demo/2/ HTTP/1.1″ 403 524 “http://www.TheBlog.ro” “Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14″
89.41.7.80 - - [04/May/2008:16:49:51 +0300] “GET /work/wordpress-plugins/inline-gallery/inline-gallery-demo/2/ HTTP/1.1″ 403 524 “http://www.TheBlog.ro” “Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14″
[...]
yay, referrer spam! made in .ro! de la o adresă care se cheamă 89-41-7-80.citynet.botosani.ro; sau cam ce face moldoveanu când dă de internet…
După cum se vede, referrer karma şi-a făcut treaba (toate au primit 403) 
later update: uitându-mă în statisticile de aci văz că au spămuit si wordpress.com, care n-are referrer karma (multe accese, referrer forjat, interval mic de timp, dacă ar exista vreun redirect loop s-ar întâmpla mai des chestia asta).
